米国の中小企業の大多数が過去1年間にデータ侵害またはセキュリティ侵害を経験しており、その結果として多くの企業(38%)が価格を引き上げたことが、Identity Theft Resource Center(ITRC)の新たな調査で明らかになった。
同非営利団体の2025 Business Impact Reportは、従業員数500人未満の企業のオーナーまたは経営幹部662人へのインタビューに基づいている。
ITRCのプレジデントであるJames Lee氏は、侵害によるインフレ効果が消費者に対する「隠れたサイバー税」として機能していると主張した。同氏は、このデータは立法者への警鐘となり、サイバー脅威による財政的負担を軽減するための州および連邦レベルでの新たな公共政策イニシアチブを促すべきだと述べた。
「この影の税金は米国経済の足かせとなり、インフレを助長し、雇用を生み出し地域社会を支えている中小企業に不釣り合いな負担を強いています。大企業ほどのリソースを持たないこれらの企業は、成長への投資、価格の低水準維持、そして常在するデジタル脅威への防御の間で選択を迫られているのです」とLee氏は述べた。
「現在の状況は公正な戦いとは言えません。私たちは、国家経済のレジリエンスが中小企業コミュニティのサイバーセキュリティとますます密接に結びついている地点に来ています。」
中小企業への脅威の詳細はこちら:Verizon DBIR:ランサムウェア攻撃の矢面に立たされる中小企業
過去1年間にセキュリティ侵害またはデータ侵害、もしくはその両方を経験した中小企業81%のうち、かなりの割合(41%)がAIを活用した攻撃を原因として挙げた。残りは外部の脅威アクター(43%)と悪意ある内部関係者(42%)によるものと説明された。
ITRCは、AIがますます、極めてリアルなフィッシングメール、ビジネスメール詐欺(BEC)のためのディープフェイク音声/動画、適応型マルウェア、および自動化された偵察活動の生成に利用されていると警告した。
「悪意ある内部関係者の主な優位性は常に、内部プロセス、コミュニケーションスタイル、組織階層に精通していることであり、それによって信頼と馴染みを利用して防御をすり抜けられる点にありました」とレポートは説明している。
「現在では、AIツールによって外部のアクターもこの優位性をスケールさせて再現できるようになっています。」
人材、プロセス、テクノロジー
同レポートはまた、中小企業のリーダーが自社のサイバー・レジリエンスに対して抱く自信と、実際のセキュリティ対策の導入状況との間に「危険な乖離」があることも指摘した。
攻撃や侵害に対して「非常に準備ができている」と回答した割合は、昨年の57%から本レポートでは38%へと急落したにもかかわらず、多要素認証(MFA)の導入率も34%から27%へと低下した。新たなセキュリティツールへの投資も前年比で15%減少した。
ITRCは、中小企業がAI駆動型攻撃の脅威に対処するには、以下のように「人材」「プロセス」「テクノロジー」に焦点を当てるべきだと助言している。
- 従業員がAI生成コンテンツを見抜けるようにセキュリティトレーニングを更新し、不自然または緊急性の高い依頼に対して疑問を呈する権限があると感じられるようにする
- 金銭取引や特権アカウントへのアクセス変更などの機密性の高い依頼について、厳格なアウト・オブ・バンド検証ポリシーを実装し、徹底して運用する
- ネットワークやエンドポイント上の異常な活動を特定し、AI生成のフィッシングコンテンツを検知するために、行動分析を用いる最新のAI搭載サイバー防御に投資する
翻訳元: https://www.infosecurity-magazine.com/news/twofifths-smbs-raise-prices-after/
